如何阻止和防止对 WordPress 的 DDoS 攻击

WordPress 是世界上最受欢迎的网站建设者之一，因为它提供了强大的功能和安全的代码库.但是，这并不能保护 WordPress 或任何其他软件免受互联网上常见的恶意 DDoS 攻击.

DDoS 攻击会降低网站速度，最终使用户无法访问它们.这些攻击可以针对小型和大型网站.

现在，您可能想知道使用 WordPress 的小型企业网站如何以有限的资源防止此类 DDoS 攻击?

在本指南中，我们将向您展示如何有效阻止和防止对 WordPress 的 DDoS 攻击.我们的目标是帮助您学习如何像专业人士一样管理您的网站安全以抵御 DDoS 攻击.

什么是 DDoS 攻击?

DDoS 攻击是分布式拒绝服务攻击的缩写，是一种网络攻击，它使用受感染的计算机和设备向 WordPress 托管服务器发送或请求数据.这些请求的目的是减慢目标服务器的速度并最终使其崩溃.

DDoS 攻击是 DoS(拒绝服务)攻击的进化形式.与 DoS 攻击不同，它们利用分布在不同地区的多台受感染机器或服务器.

这些受感染的机器形成一个网络，有时也称为僵尸网络.每台受影响的机器都充当机器人并对目标系统或服务器发起攻击.

这可以让他们暂时不被注意到，并在他们被阻挡之前造成最大的伤害.

即使是最大的互联网公司也容易受到 DDoS 攻击.

2018 年，流行的代码托管平台 GitHub 见证了大规模 DDoS 攻击，每秒向其服务器发送 1.3 TB 的流量.

您可能还记得 2016 年对 DYN(DNS 服务提供商)的臭名昭著的攻击.这次攻击得到了全球新闻报道，因为它影响了许多流行的网站，如亚马逊、Netflix、PayPal、Visa、AirBnB、纽约时报、Reddit 和数千个其他网站.

为什么会发生 DDoS 攻击?

DDoS 攻击背后有多种动机.以下是一些常见的:

• 精通技术的人，他们只是觉得无聊并喜欢冒险
• 试图表达政治观点的人和团体
• 针对特定国家或地区的网站和服务的群组
• 针对特定企业或服务提供商进行有针对性的攻击，对其造成经济损失
• 勒索和收取赎金

蛮力攻击和 DDoS 攻击有什么区别?

蛮力攻击通常试图通过猜测密码或尝试随机组合来入侵系统，以获得对系统的未经授权的访问.

DDoS 攻击纯粹用于使目标系统崩溃，使其无法访问或减慢速度.

有关详细信息，请参阅我们的指南，了解如何通过分步说明阻止对 WordPress 的蛮力攻击.

DDoS 攻击会造成哪些损害?

DDoS 攻击会使网站无法访问或降低性能.这可能会导致糟糕的用户体验、业务损失，并且缓解攻击的成本可能高达数千美元.

以下是这些费用的明细:

• 由于无法访问网站而导致业务损失
• 回答服务中断相关问题的客户支持成本
• 通过雇用安全服务或支持来减轻攻击的成本
• 最大的成本是糟糕的用户体验和品牌声誉

如何阻止和防止对 WordPress 的 DDoS 攻击

DDoS 攻击可以巧妙伪装并且难以应对.但是，通过一些基本的安全最佳实践，您可以防止并轻松阻止 DDoS 攻击影响您的 WordPress 网站.

以下是您需要采取的步骤，以防止和阻止对您的 WordPress 网站的 DDoS 攻击.

移除 DDoS/暴力攻击垂直

WordPress 最大的优点是它非常灵活.WordPress 允许第三方插件和工具集成到您的网站并添加新功能.

为此，WordPress 为程序员提供了多个 API.这些 API 是第三方 WordPress 插件和服务可以与 WordPress 交互的方法.

但是，在 DDoS 攻击期间，也可以通过发送大量请求来利用其中一些 API.您可以安全地禁用它们以减少这些请求.

在 WordPress 中禁用 XML RPC

XML-RPC 允许第三方应用与您的 WordPress 网站进行交互.例如，您需要 XML-RPC 才能在移动设备上使用 WordPress 应用程序.

如果您像绝大多数不使用移动应用程序的用户一样，那么您只需将以下代码添加到您网站的.htaccess 文件中即可禁用 XML-RPC.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

有关替代方法，请参阅有关如何在 WordPress 中轻松禁用 XML-RPC 的指南.

在 WordPress 中禁用 REST API

WordPress JSON REST API 允许插件和工具访问 WordPress 数据、更新内容和/或什至删除它.以下是在 WordPress 中禁用 REST API 的方法.

您需要做的第一件事是安装并激活禁用 WP Rest API 插件.有关更多详细信息，请参阅有关如何安装 WordPress 插件的分步指南.

该插件开箱即用，它只会为所有未登录的用户禁用 REST API.

激活 WAF(网站应用防火墙)

禁用 REST API 和 XML-RPC 等攻击媒介可提供有限的 DDoS 攻击保护.您的网站仍然容易受到普通 HTTP 请求的攻击.

虽然您可以通过尝试捕获不良机器 IP 并手动阻止它们来减轻小型 DOS 攻击，但这种方法在处理大型 DDoS 攻击时并不是很有效.

阻止可疑请求的最简单方法是激活网站应用程序防火墙.

网站应用防火墙充当您的网站与所有传入流量之间的代理.它使用智能算法来捕获所有可疑请求并在它们到达您的网站服务器之前阻止它们.

我们推荐使用 Sucuri，因为它是最好的 WordPress 安全插件和网站防火墙.它在 DNS 级别运行，这意味着他们可以在向您的网站发出请求之前捕获 DDoS 攻击.

Sucuri 的起价为每月 20 美元(每年支付).

我们在 WPBeginner 上使用 Sucuri.查看我们的案例研究，了解它们如何帮助阻止对我们网站的数十万次攻击.

或者，您也可以使用 Cloudflare.但是，Cloudflare 的免费服务仅提供有限的 DDoS 保护.您至少需要注册他们的第 7 层 DDoS 保护商业计划，每月费用约为 200 美元.

请参阅我们关于 Sucuri 与 Cloudflare 的文章，了解详细的并排比较.

注意:在应用程序级别运行的网站应用程序防火墙 (WAF) 在 DDoS 攻击期间效果较差.一旦流量到达您的 Web 服务器，它们就会阻止流量，因此它仍然会影响您的整体网站性能.

找出是蛮力攻击还是 DDoS 攻击

蛮力攻击和 DDoS 攻击都集中使用服务器资源，这意味着它们的症状看起来非常相似.您的网站会变慢并可能崩溃.

只需查看 Sucuri 插件的登录报告，您就可以轻松了解是蛮力攻击还是 DDoS 攻击.

只需安装并激活免费的 Sucuri 插件，然后转到 Sucuri Security »上次登录页面.

如果您看到大量随机登录请求，那么这意味着您的 wp-admin 受到了蛮力攻击.为了缓解它，您可以查看我们关于如何在 WordPress 中阻止蛮力攻击的指南.

在 DDoS 攻击期间要做的事情

即使您有网络应用防火墙和其他保护措施，DDoS 攻击也可能发生.CloudFlare 和 Sucuri 等公司会定期处理这些攻击，而且大多数情况下您不会听说过这些攻击，因为它们可以轻松缓解.

但是在某些情况下，当这些攻击规模很大时，它仍然会影响您.在这种情况下，最好准备好缓解 DDoS 攻击期间和之后可能出现的问题.

您可以采取以下措施将 DDoS 攻击的影响降至最低.

1.提醒您的团队成员

如果您有团队，那么您需要将此问题告知同事.这将帮助他们为客户支持查询做准备，寻找可能的问题，并在攻击期间或之后提供帮助.

2.将不便告知客户

DDoS 攻击会影响您网站上的用户体验.如果您经营 WooCommerce 商店，那么您的客户可能无法下订单或登录他们的帐户.

您可以通过您的社交媒体帐户宣布您的网站遇到技术问题，一切将很快恢复正常.

如果攻击规模很大，那么您还可以使用电子邮件营销服务与客户沟通，并要求他们关注您的社交媒体更新.

如果您有 VIP 客户，那么您可能希望使用您的商务电话服务拨打个人电话，并让他们知道您正在如何恢复服务.

在这些艰难时期进行沟通对保持您的品牌声誉有着巨大的影响.

3.联系托管和安全支持

与您的 WordPress 托管服务提供商联系.您可能目睹的攻击可能是针对其系统的更大攻击的一部分.在这种情况下，他们将能够为您提供有关情况的最新更新.

联系您的防火墙服务，让他们知道您的网站受到 DDoS 攻击.他们也许能够更快地缓解这种情况，并可以为您提供更多信息.

在像 Sucuri 这样的防火墙提供商中，您还可以将设置设为 Paranoid 模式，这有助于阻止大量请求并使普通用户可以访问您的网站.

确保您的 WordPress 网站安全

WordPress 开箱即用非常安全.然而，作为世界上最受欢迎的网站建设者，它经常成为黑客的目标.

幸运的是，您可以在您的网站上应用许多安全最佳做法，以使其更加安全.

我们为初学者编制了完整的分步 WordPress 安全指南.它将引导您完成最佳 WordPress 安全设置，以保护您的网站及其数据免受常见威胁.

我们希望本文能帮助您了解如何阻止和防止对 WordPress 的 DDoS 攻击.您可能还想查看我们关于最常见的 WordPress 错误以及如何修复它们的指南.